Home
Privacy e anonimato: come proteggere la propria identità

31 Maggio 1999

Privacy e anonimato: come proteggere la propria identità

di

Costruire profili personali diventa tecnicamente sempre più semplice. Per questo motivo sono stati sviluppati diversi strumenti per navigare nell'anonimato. Ecco quali.

Roger Clark, autore di testi e ricerche sulla privacy e la sicurezza in rete, 10 anni fa, in un articolo pubblicato da Communication of ACM, dava il nome a una pratica sempre più diffusa: il “dataveillance”, cioè l’uso sistematico di “personal data systems” per investigare e monitorare le azioni e le comunicazioni delle persone.

Costruire profili personali diventa tecnicamente sempre più semplice, grazie ai molti sistemi di personalizzazione che raccolgono informazioni sugli individui, all’utilizzo sempre più capillare di dispositivi elettronici, allo sviluppo dell’information retrivial e alla rapidità delle trasmissioni telematiche. Alcuni dati personali sono insignificanti se presi singolarmente, ma acquisiscono grande valore se aggregati. Il tutto riempie di gioia i cosiddetti data brokers o database marketers, ma suona un po’ peggio agli utenti di Internet, che acquistano sempre più consapevolezza dei loro diritti e della facilità con cui si può abusare dei loro dati personali.

Le implicazioni politiche ed economiche di questa situazione sono evidenti. Senza sconfinare in visioni apocalittiche, non si può negare che la questione privacy sia un argomento quanto mai scottante e complesso. Lo stesso guru delle comunità virtuali Howard Rheingold, in un articolo del ’93 intitolato “disinformocrazia”, affermava: “il rischio è quello di trasformare in sogno di una democrazia mondiale edificata sul pluralismo dell’informazione in un incubo di orwelliana memoria”.

Parlare di schedatura delle persone fa venire in mente dittature totalitarie che controllano ogni movimento dei cittadini, ma in verità a surriscaldare maggiormente la questione sono gli aspetti commerciali. D’altra parte anche Rheingold precisava: “quando il Grande Fratello arriverà, non stupitevi se avrà le sembianze di un commesso di drogheria, perché la privacy è stata trasformata in merce”. I cookie e lo spamming non sono che la punta dell’iceberg.

In rete troviamo anche siti come “myprospects” e “discreetresearch” che permettono di ottenere, a pagamento, informazioni su milioni di americani: nome, reddito, stile di vita, fedina penale, ecc. Una manna per le aziende, ma venduto anche come servizio per proteggerci dai nostri vicini! La Homepage di “discreetresearch” recita così: “have a doubt about someone?”. Qualcuno non ci convince tanto? Andiamo un po’ a vedere il suo profilo personale e le sue informazioni riservate! Visitate gente, visitate.

Che gli utenti Internet siano vagamente allarmati emerge anche dalle statistiche. Il Graphic Visualisation & Usability Center, un centro di ricerche che conduce indagini ad ampio raggio sugli utenti Internet dal ’94, ha recentemente pubblicato i dati della sua decima indagine (campione di 5000 utenti): il 52,8 per cento ha affermato di essere molto preoccupato (il 26,7% abbastanza preoccupato) rispetto alla tutela privacy.

Dalla settima indagine invece emerse che il 40% degli utenti aveva mentito sulla propria identità registrandosi a un sito, e di questi il 14,59 lo faceva una volta su quattro. Motivazione? Per il 69,34% degli intervistati non è mai chiaro l’uso che viene fatto dei dati raccolti. E questo non piace.

Il dibattito in rete è accesissimo, i convegni si moltiplicano, gli interessi sono molti e contrastanti. In USA, sia il governo che le industrie (ugualmente forti) vogliono mettere delle regole. C’è chi invece vuole mettersi, come la Electronic Frountier Foundation, dalla parte dell’individuo in modo che esso possa controllare i propri dati personali. In questa direzione esistono svariate proposte.

Una delle più note è P3P (Platform for Privacy Preferences), sviluppato da W3C. Si tratta di un sistema che permette ai siti Web e ai loro visitatori di stabilire delle regole per la privacy che combinano i criteri di raccolta dati del sito e le preferenze dell’utente.

Quest’ultimo compila il suo profilo personale una volta per tutte e durante la navigazione il sistema “negozia” automaticamente l’uso che la società può fare dei dati che vengono raccolti. L’utente decide la quantità di informazioni che è disposto a cedere a seconda dell’uso che il sito dichiarerà di fare e il sistema attraverso i protocolli P3P gestisce autonomamente il livello di privacy consentito per ogni sito.

Ma come fidarsi di ciò che il sito dichiara? Il progetto TRUSTe è una risposta interessante. Si tratta di un tentativo di accrescere la fiducia dei consumatori (che non si fidano dei pagamenti on-line) in Internet. TRUSTe certifica il livello di tutela della privacy dichiarato dai siti attraverso monitoraggi approfonditi. Solo in questo modo i siti in questione, che ne hanno fatto richiesta, potranno esibire il simbolo di TRUSTe sulla propria home page come certificato di garanzia della propria correttezza nelle politiche di privacy (lo stesso servizio viene offerto da WebTrust).

Sono stati sviluppati diversi strumenti per navigare nell’anonimato. Il più noto è Anonymizer, un Website che ci permette di collegarci ad altri siti senza essere identificati dal server di destinazione. Sono stati sviluppati anche sistemi decisamente più sofisticati, anche se ancora un po’ zoppicanti su alcuni aspetti.

CROWDS è uno di questi, un sistema basato sull’idea che le persone possono essere anonime se mescolate in una folla (crowd). A prescindere dal fatto che ciò avvenga o meno, tecnicamente il sito che viene visitato potrebbe registrare molte informazioni sull’utente: quali pagine ha visitato, il suo indirizzo IP, il suo domain name (che dice molto sull’utente e sulla sua posizione), il tipo di piattaforma che usa, da dove arriva e, con qualche sforzo, dove va dopo.

Gli stessi controlli possono essere effettuati da ISP e amministratori di gateway. In parole povere per esempio gli amministratori della rete del nostro posto di lavoro potrebbero monitorare ogni nostra azione al computer. Non con CROWDS, a quanto pare. L’idea di CROWDS è che l’utente navighi facendo perdere le sue tracce in mezzo a una folla di altri utenti. Le operazioni vengono rimbalzate tra gli altri utenti in maniera random e ad ogni passaggio si perdono le tracce dell’utente originario.

Gli inconvenienti però esistono e non sono pochi: per pagamenti con carta di credito è raccomandabile non allungare il percorso e stabilire una connessione diretta con il server, CROWDS non funziona se sul sito si trovano java applet e ActiveX control e da qualche problema con i firewall. Inoltre CROWDS rallenta decisamente la connessione. Gli sviluppatori sostengono di averne distribuiti 1400 e di mantenere una “folla” che lo usa attivamente.

In USA esistono forti controlli sull’esportazione di software con alto grado di crittografia, come CROWDS, quindi esso è disponibile solo negli Stati Uniti e in Canada. Molti venditori on-line inoltre osteggiano questi sistemi. Numerose truffe infatti sono state fatte attraverso Anonymizer con numeri di carta di credito rubati, e quindi molti server sono stati configurati in modo da rifiutare richieste di acquisto che provengono da Anonymizer. Il lancio di CROWDS ha inquietato maggiormente gli operatori commerciali e, a quanto dichiarano gli sviluppatori del software, una grande azienda avrebbe vietato l’uso di CROWDS tra i dipendenti.

Un altro sistema interessante è Onion Routing, con cui l’utente utilizza una struttura di dati stratificati (una cipolla appunto) che specifica algoritmi simmetrici crittografati e chiavi da usare mentre i dati vengono trasmessi. In pratica il messaggio attraversa diversi router sfogliando vari strati che vengono progressivamente eliminati per cui è impossibile risalire al mittente originario. Il messaggio viene trasformato in diversi strati crittografati.

L’obiettivo è quello di costruire un sistema resistente all’analisi del traffico, alla sorveglianza dei messaggi e ad altri attacchi dall’interno o dall’esterno del network dove l’utente opera. Il tutto con bassi oneri in termini di connessione e rallentamento del sistema. Utilizzando Onion Routing è impossibile lasciar sapere chi sta parlando con chi e cosa sta dicendo. Gli sviluppatori dichiarano di aver ricevuto dal 1998 più di 11 milioni di contatti, attualmente più di 50mila hits al giorno.

Capita tuttavia di voler intrattenere rapporti stabili con un Web, abbonandosi per esempio a una sua newsletter o usufruendo di un servizio personalizzato. Diventa in quel caso impossibile mantenere l’anonimato? A quanto pare no, grazie a sistemi come Lucent Personalized Web Assistant (LPWA). Quando ci si registra a un sito spesso bisogna inserire dati, nome, login, password, e-mail, ecc. Per sicurezza sarebbe opportuno cambiare sempre login e password tra un sito e l’altro, evitando di usare parametri usati per altri accessi importanti. LPWA crea pseudonimi per ogni nostra registrazione.

Crea un alias per username, password ed e-mail, poi filtra lo spam che arriva su quell’alias e gestisce il nostro rapporto con il sito a cui abbiamo deciso di registrarci. Ogni sito riceve uno pseudonimo diverso (e solo un’agente automatizzato sarebbe grado di ricordarli tutti). Il filtro della posta è comunque sotto controllo dell’utente che, tra l’altro, può anche risalire a chi ha venduto il suo e-mail e a chi. LPWA può rendere anonimo l’utente permettendogli una piena personalizzazione.

La questione anonimato, no-identity, su Internet è senz’altro controversa, molti sistemi come quelli sopra descritti vengono duramente osteggiati, gli interessi e le esigenze in gioco sono molti. Da una parte c’è l’esigenza degli utenti a mantenere la privacy e l’anonimato, dall’altra ci sono le esigenze di chi da quell’anonimato potrebbe essere danneggiato come in un caso di diffamazione.

C’è chi invece ritiene inutile la tutela della privacy. È il caso di D. Brin (autore per Addison-Wesley di “The Transparent Society”) che sostiene molto lucidamente che la tecnologia ci porta verso una sempre maggiore circolazione delle informazioni per cui il tentativo di proteggere la privacy è inutile. Egli sostiene che la privacy può essere sostenuta solo con la completa libertà di accesso a tutte le informazioni.

In pratica Brin pensa che se “il sorvegliato potesse sorvegliare i sorveglianti”, cioè se anche l’utilizzo dei dati fosse trasparente, nessuno potrebbe abusarne. All’idea di sorvegliare i sorveglianti ci hanno pensato anche alla EFF con il progetto Spy Back, spia chi ti spia. Ma privacy non significa solo protezione da chi ha intenzione di abusare dei nostri dati. Il cammino è ancora lungo, staremo a vedere.

Link:
Discreet Research: http://www.discreetresearch.com/
My Prospects: http://www.myprospects.com/
Anonymizer: http://www.anonymizer.com/

Iscriviti alla newsletter

Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo

Gli argomenti che mi interessano:
Iscrivendomi dichiaro di aver preso visione dell’Informativa fornita ai sensi dell'art. 13 e 14 del Regolamento Europeo EU 679/2016.